磁碟机病毒_svchost.exe 病毒_机器狗病毒

这是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行运行，并会不断检测窗口来关闭一些杀毒软件及安全辅助工具，破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒，反复写注册表来破坏系统安全模式，病毒会在每个分区下释放AUTORUN.INF来达到自运行。

病毒简介：

这是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行运行，并会不断检测窗口来关闭一些杀毒软件及安全辅助工具，破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒，反复写注册表来破坏系统安全模式，病毒会在每个分区下释放AUTORUN.INF来达到自运行。

病毒功能：

一、病毒通过修改系统默认加载的DLL列表项来实现DLL注入，并在注入后设置全局钩子.通过远程进程注入，并检测是否有相应安全软件和管理工具。通过枚举进程名，通过搜索以下关键字来关闭进程：

Rav avp twister kv watch kissvc scan guard

找到带有关键字的窗口后，就往目标窗口发送大量的垃圾消息，是其无法处理而进入假死的状态，当目标窗口接受到退出、销毁和WM_ENDSESSION消息就会异常退出。通过查找窗口文字和和获得窗口线程进程ID等函数(GetWindowThreadProcessID)监控指定文字的窗口，之后会发送消息或者通过Terminateprocess函数结束进程，病毒关闭杀毒软件的方法没有什么创新，但关键字变的更短，使一些名字相近的进程或窗口也被关闭。

病毒运行后，生成如下文件

C:\WINDOWS\system32\Com\LSASS.EXE

C:\WINDOWS\system32\Com\netcfg.000

C:\WINDOWS\system32\Com\netcfg.dll

C:\WINDOWS\system32\Com\SMSS.EXE

C:\WINDOWS\system32\894729.log

C:\WINDOWS\system32\dnsq.dll

C:\WINDOWS\system32\ntfsus.exe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe

或者在C:\Documents and Settings\用户名\「开始」菜单\程序\启动下面

netcfg.dll负责注入IE并连接网络下载木马

并注册为浏览器加载项

[IfObj Control]

D9901239-34A2-448D-A000-3705544ECE9D

dnsq.dll会插入一些进程，并监控C:\WINDOWS\system32\Com\LSASS.EXE，如果该进程被结束，则立即恢复。

而且会监控~.exe，如果该文件被删除，立即重写。

894729.log即pagefile.pif文件

之中还会在C盘生成一个驱动，该驱动应该是用于提升权限所用

以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts

C:\boot.ini不能写则Xdelbox等软件被废掉。

二、修改注册表破坏文件夹选项的隐藏属性修改，使隐藏的文件无法被显示。

HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden改为0x00000000

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-25078-1.html